楽天が同社のオンラインモールに出店する事業者に対し一定金額以上の購入時の送料無料化を求めたことに対し出店者は反発しているが(過去記事)、出店者らによる団体「楽天ユニオン」の代表が楽天の出店者向けシステムにログインするためのIDとパスワードを日経新聞の記者に伝え、その記者が実際にシステムにアクセスした、という話が出ているようだ(週刊ポスト)。「楽天の関係者」によると、システムに日経新聞社が使用するIPアドレスから2回のアクセスが確認されたという。ただ、出店者側がIDとパスワードを伝えたとされているため、このアクセスは不正アクセスには相当しないと考えられるという。
楽天の出店者向けシステムにログインするためのIDとパスワード (スコア:3, 参考になる)
楽天出展者用に単一のIDとパスワードがあってそれを伝えたとか勘違いしている人が多いのかな。
RMSへのログイン管理は「ストアアカウント + ストアメンバーアカウント」のペアで行われていて
当然だけどそのストアのストアメンバーアカウントはストアが独自に発行・管理している。
例えばストアが外部の広告会社や運用会社と契約してストアメンバーのアカウントを発行して委託するとか
滅茶苦茶普通に行われているし、契約上も何の問題もない。
今回話題となった店舗が運営のための何らかの用に合わせ必要な権限だけを付与したストアのメンバーアカウントを作って
渡す事には規約的にも全く何の問題もないし、不正だなんだのと騒ぐのは有利誤認を期待した妨害じゃないのですかね。
Re: (スコア:0)
その手のストアアカウントの発行については、大抵は目的外での濫用禁止の規定は有ると思われるんだが。
楽天は知らないけど他では大抵有ったぞ。
Re: (スコア:0)
店舗経営の継続に必要と判断して渡したのなら何の問題もありませんね。
不自然なログイン (スコア:1)
出店者ですけれど、RMSに特別な制限などなく、docomo回線からもあっさりログインできるんですよね。
ユニオンの代表だから、デジタルストーキングされていたんじゃなかろうか。
Re: (スコア:0)
ストールマンがログインしても怪しまれない!
Re: (スコア:0)
>楽天市場の規約を見たいと言われ、
>「確かに、日経の記者さんにIDとパスワードは伝えました」
って書いてあるぞ、これじゃ不正アクセスでないと思うぞ
>自店舗のIDやパスワードを第三者に渡して閲覧できるようにすることは規約違反
>(ログインした場合は)その店舗での購入者の個人情報(氏名、住所、電話番号、購入商品)をシステムを通じて確認することができます
ユニオンの代表の規約違反だけ?
日経の記者は、恐らく個人情報を見てないだろう、見てたらそれを書くだろうし、
また、説明には確認したとは言わずに、確認することができますと誤認してほしそうに書いてある。
もしかしたら、回覧したかどうかわからない糞システムなのか?
Re: (スコア:0)
分かりませんし、制限する方法がありません。
スタッフ以外、たとえばHTMLを書く外注業者にサブアカウントを付与するようなことも機能的に想定されてるのですが、
それについてR-Storefrontの権限をOffすることができないので、彼らも購入者情報がガバガバ見れます。
Re: (スコア:0)
妙に内部事情に詳しい記事書いてたとかで、記者に見られているという想定で調査を行ったとすれば、
日経のIPアドレスを検索して漏らした奴をすぐに特定できそうではある。
Re: (スコア:0)
ちなみにRMSの二段階認証はViberだったりするので、そんなものを使っている人はおりません(笑
Re: (スコア:0)
> 出店者ですけれど、RMSに特別な制限などなく、docomo回線からもあっさりログインできるんですよね。
携帯電話回線からログインできるのは当然じゃないのかな?
でないと、固定回線持ってない出店者はアクセスできなくなるだろうし。
Re: (スコア:0)
i-mode 時代なら意図的に通す、という制御だったのでおっしゃることはわかるんだけど、今は意図的に塞がない限りただのインターネットアクセスなのです。docomo モバイル回線が使う CIDR が把握できないと止めることは難しいし、通常の用途として止めちゃいけないアクセスじゃないですかね。
パスワードがハッシュ化されていたが暗号化されていなかった!!みたいな事いうのやめようぜ。
Re: (スコア:0)
ちなみにWowmaやAmazonだと、メールでワンタイムパスワード認証を求めてきます。
楽天は「モールにおける取引の安全性・利便性向上のためのシステム利用料(税別)」を別途徴収するけれど、こんな感じ。
データ装備費なのかな。
Re: (スコア:0)
実際には日経に渡していたわけで、どうやって特定したか明かしたら抑止力としての意味失うのでは?
Re: (スコア:0)
アクセス解析にIPアドレスと一緒にドメインも表示されててNIKKEIとか書いてたんじゃないんですかね
Re: (スコア:0)
偽ブランド品販売サイトの振込先で中国留学生名義の楽天銀行の口座が使われまくったから、普段のログインと全く関係ないIPレンジからログインされたら警告対象ぐらいはするでしょ。
楽天の個人情報保護体制 (スコア:1)
出店者って、楽天からみると顧客ですよね。
顧客がどのIPアドレスからアクセスしてたかって、公的な開示要求とかがないかぎりはプライバシーとして保護すべきものだと思うけど、
楽天はその辺がガバガバってことですね。
Re: (スコア:0)
顧客≠消費者
Re: (スコア:0)
「日経新聞の記者」は顧客じゃないんじゃね?
#アクセスできるIPが制限されてる場合だってあるかもしれん。
#Gmailだって、いつもと違う場所からアクセスがあると、不正アクセスの疑いありと警告が出たりする。
気になるのはパスワードを関係ない第三者に渡して、内部にアクセスさせる行為は契約上
禁止されてなかったのかということかな。
Re: (スコア:0)
> 「日経新聞の記者」は顧客じゃないんじゃね?
アクセスしたのが 「日経新聞の記者」だってのは憶測でしかありませんね。
出店者自身が日経新聞の記者に呼ばれて新聞社に出向き、
日経の端末を使って自分でアクセスした可能性だってあるわけで。
Re: (スコア:0)
出店者が出向いて自分でアクセスするのなら、IDとパスワードを日経の記者に伝える必要は無いでしょう。
記者に見られていない状態でログインした後、日経の記者に資料を確認してもらえば良いだけ。
日経の記者が単独でアクセスした可能性もある。
店舗運営と無関係な人間にIDとパスワードを教えるのは、楽天のシステム以前の問題だと思うけど。
セキュリティに対する意識はどうなっているのだろう。
Re: (スコア:0)
記事読んででないでしょ。
日経側が自分とこの記者がアクセスしたって認めてるんだよ。
本当なら楽天の肩なんか持ちたくないが、これは筋が悪すぎる。
Re: (スコア:0)
管理者側が部外者の自己申告をうのみになんかしないのは当たり前。
たとえばハッカーがシステム侵入の犯行声明を出したとしても、侵入された側は「怪しい侵入の痕跡は見つかったが誰が侵入したのかは特定できない」と言うもんだよ。
Re: (スコア:0)
楽天が公開したことが大問題なんですよ。
Re: (スコア:0)
gmailのアレはipアドレスで判断してる訳じゃないだろ
Re: (スコア:0)
楽天の関係者という(ある意味)あやふやな存在ですから…
Re: (スコア:0)
用途外使用ですしアカウントの貸し借りは必然性が無いと認められないなんて契約もままありますから、その辺りは単純には言えないのでは?
Re: (スコア:0)
んー、ちょっとしたトラップかもしれんな。
店の属性として関連が考えにくい新聞社のIPアドレスからアクセスされてたら、問題のあるアクセスと早とちりして、
XX新聞社からシステムのアクセスがあったぞどういうことだとかポロッと口が滑ってしまうかもしれない。
勿論そのケースはサービス運営側のチョンボだとは思うけど。
Re: (スコア:0)
出店者が日経の取材に応じて、その時に日経の客向け無線LANから、出店者が自分の管理画面にアクセスしただけかもしれないのにな。
楽天関係者が漏らしたこと事態がだいぶアカンような。
副業 (スコア:0)
日経新聞の関係者が副業で楽天への出品やその手伝いをやってるのでは?
Re: (スコア:0)
その位注意深く準備していれば言い逃れも出来たものを。
不正アクセス禁止法違反 (スコア:0)
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。
第十二条 次の各号のいずれかに該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。
二 第五条の規定に違反して、相手方に不正アクセス行為の用に供する目的があることの情を知ってアクセス制御機能に係る他人の識別符号を提供した者
引っかかると思うのですが。
Re:不正アクセス禁止法違反 (スコア:1)
他人の識別符号
自分の識別符号を他人に提供してはならんとは書かれてないな
Re: (スコア:0)
これは楽天の利用規定違反でしかないよな。
Re: (スコア:0)
店舗の通常のアカウント以外のアカウントを作成し、適切な権限を設定したうえでそのアカウント情報を伝える
引っかかる要素が見つからないように思うのですが。